Arpentage du rapport de Mounir Mahjoubi sur le tracage des données mobiles dans le cadre de la lutte contre le coronavirus

Publié le samedi 11 avril 2020.

Jeudi 9 avril 2020, nous avons organisé l'arpentage du rapport de Mounir Mahjoubi, intitulé Traçage des données mobiles dans la lutte contre le Covid-19 et publié le 6 avril 2020. Cette note parlementaire a été transmise le 6 avril 2020 aux député·e·s. Nous avions envie de vous partager ce qui s'est passé pendant ces deux heures et ce que nous en avons retenu, car cela nous paraît indispensable.

EDIT : Une version lue, enregistrée par les camarades de Radio-Galère de Marseille , à écouter ci-dessous, ou à télécharger (émission Privé·e·s de sortie du 17 Avril) :

L'arpentage est un outil d'éducation populaire qui permet de lire, à plusieurs, un texte (livre, brochure, etc). Le texte est découpé en autant de morceaux qu'il y a de participant·e·s. Chacun·e lit individuellement son extrait, s'en imprègne et en restitue sa lecture au groupe. Chaque participant·e a pu partager sa lecture à partir de trois questions :

  • qu'est-ce que je savais déjà dans ce que j'ai lu ?
  • qu'est-ce que j'ai appris dans ce que j'ai lu ?
  • quelles questions ont été levées dans ce que j'ai lu ?

Le rapport fait une quarantaine de pages, nous étions neuf. Cinq pages par personne et vingt minutes plus tard, nous avions fini de lire et avons discuté et partagé pendant encore une heure et demie. Voici ce que nous en avons retenu, les remarques et interrogations soulevées lors de nos échanges sur le sujet.

De quoi est-il question dans cette étude ?

Ce document fait un état des lieux du pistage des populations par le biais des smartphones pendant la pandémie, en s'appuyant notamment sur ce qui se passe à l'étranger. Mounir Mahjoubi y recense trois objectifs distincts :

  1. L’observation des pratiques collectives de mobilité et de confinement (i.e. cartographie des déplacements de population).
  2. L’identification des sujets “contact” (i.e. backtracking ou contact tracking).
  3. Le contrôle des confinements individuels

Y sont évoquées plusieurs technologies : le bornage téléphonique, des applications GPS, des applications Bluetooth, les systèmes de cartes bancaires et de transport, la vidéosurveillance dotée ou non d’intelligence artificielle.

Pour chaque objectif, sont déclinées les différentes technologies possibles, et y sont analysés les "potentiels" et les "limites".

Les applications de traçage bluetooth

Il est largement question d'applications utilisant le bluetooth du téléphone. Leur but serait de savoir si notre téléphone a été à proximité du téléphone d'une personne infectée et d'en être informé·e. Ce type de système nous a questionné à plusieurs titres.

Tout d'abord, le rapport précise que l'efficacité de ce type d'outils sécuritaires n'est pas prouvée. De façon plus globale, le rapport ne mentionne que peu cette question et évoque un vague contrôle citoyen.

[Les applications bluetooth] n’ont pas encore fait la preuve de leur efficacité sanitaire.

Les opportunités offertes par les nouvelles technologies ont pour clé de voûte l’acceptation populaire. Celle-ci repose sur plusieurs exigences, dont une proportionnalité des méthodes aux objectifs, une pleine transparence des pratiques, et notamment des codes informatiques, et une véritable gouvernance indépendante de contrôle, en capacité d’évaluer efficacement et à tout moment les pratiques et leurs performances sanitaires.

− Citations issues du rapport, page 4

On apprend dans le rapport qu'il faut que 60% de la population soit équipée de l'application bluetooth pour espérer en voir des effets. La France compterait un taux d'équipement de smartphones à hauteur de 80%. On comprend alors que l'on atteindra très difficilement 60% d'installation de ce genre d'application si on se base sur le simple volontariat. Les hypothèses avancées pour augmenter le taux d'équipement de la population seraient de passer par une phase de promotion propagande dans les médias, l'utilisation de personnes faisant autorité (professionnels de la santé, ...), d'utiliser des méthodes coercitives, voire d'imposer l'installation de l'application en demandant de l'aide aux éditeurs de système d'exploitation (android, ios, ...) et/ou aux opérateurs mobiles.

Comment fonctionne ce genre d'applications ? Elles gardent la liste des identifiants des téléphones mobiles qui ont été proches les uns des autres en les communicant via Bluetooth. Dans le rapport, il est mis en évidence que l'identité du propriétaire du téléphone et que les informations personnelles ne sont pas nécessaires au fonctionnement de l'application : un simple identifiant unique par mobile est utilisé. Une liste de questions arrive :

  • Combien de personnes portent le téléphone d'un·e autre ? On peut donc en conclure que quand bien même l'identifiant est porté par un téléphone on identifie assez fortement la personne porteuse elle-même.
  • Quid aussi du fait qu'on oblige les gens à avoir le bluetooth allumé en permanence alors que d'une part, cela peut poser problème en terme de sécurité et d'autre part, que cette technique est utilisée par les professionnels du marketing pour nous suivre à la trace ?

En plus de cette efficacité non-prouvée, le rapport souligne d'autres problèmes comme le faux sentiment de sécurité qui en découle :

  • Une personne peut se trouver dans une zone infectée mais sans qu'un téléphone équipé ne soit présent (le risque est là mais l'application ne sert à rien)
  • L'anxiété générée due au fait que nous pouvons être notifié à tout moment lors d'une possible infection.

Fadettes et backtracking

Avant même l'utilisation d'applications mobiles, il a déjà été envisagé de tracer les personnes via leur opérateur mobile : en requérant les factures détaillées (fadettes), mais aussi l'historique de géolocalisation enregistré par les antennes relais (bornage). C'est ce bornage qui permet le fameux « backtracking ».

C'est le cas entre autres en Allemagne ce qui a suscité un tollé. L'idée d'une application exploitant le bluetooth émerge alors, avec l'aide d'autres partenaires Européens.

Un des critères d'acceptabilité serait de la rendre open-source, le code serait donc consultable par toutes et tous. Quand bien même l'application serait open-source, ça ne la rendrait pas plus acceptable. Ce genre d'outils rejoint la longue liste des dispositifs techno-solutionistes très dangereux du point de vue des libertés publiques et individuelles. Les bénéfices sont douteux et les menaces pour la population bien réelles.

Le rapport ajoute que ce genre d'applications ne serait efficace que couplé avec des tests de dépistage massif, ce qui est attendu depuis le mois de janvier en France.

La question du consentement

Se pose aussi la question du libre consentement d'avoir nos données traitées et nos vies tracées :

  • Que restera-t-il comme activité libre pour les personnes refusant légitimement d'être équipées d'un tel dispositif ?
  • Comme les lois sécuritaires du terrorisme ont servi à assigner à résidence des militants écologistes, l'urgence sanitaire ne permettra-t-elle pas de confiner à demeure des groupes politiques, syndicaux, de croyance, sexuels ou autre ?
  • Quelles sont les garanties sur la fin de mise en place de ce dispositif ?
  • Existe-t-il un contre-pouvoir pour surveiller la mise en place de ce dispositif ?
  • Quelles seront les garanties de voir désinstallée cette application après la crise sanitaire ?
  • Comment garantir que la finalité n'évoluera pas dans le temps ? (dérive étatique pour confiner des personnes sous prétexte sanitaire en fonction de leur sensibilité politique, de croyance, sexuelle...)

Ce qu'on en a retenu

Les moyens techniques sont déjà là, il suffit de les exploiter de façon plus importante qu'aujourd'hui, notamment en ajoutant des passerelles entre les acteurs privés qui collectent ces informations et l'État.

Pour fonctionner, de nombreuses applications mobiles récupèrent et stockent les coordonnées GPS de leurs utilisateurs.

Il en va ainsi d’applications populaires, telles que GoogleMaps, Waze, Facebook, Instagram, Whatsapp ou encore Lime. Les historiques ainsi constitués par les applications les plus utilisées peuvent ainsi être agrégés et anonymisés pour témoigner de mouvements de population à l’échelle d’un continent, d’un pays, d’une ville ou d’un quartier.

− Citation issue du rapport, page 11

La question des libertés individuelles, de libre circulation et de rassemblement passe très au second plan en raison de la gravité de la situation sanitaire. Nous sommes face à de simples « promesses » d'utiliser ces dispositifs uniquement pour notre bien. L'Histoire, y compris récente avec l'intégration dans le droit commun de l'état d'urgence lié au terrorisme, nous démontre qu'on ne doit pas faire confiance à ces discours, et que ces outils de contrôle social continueront très probablement à être utilisés après la crise actuelle.

Pour l’Etat, l’enjeu de données fiables et détaillées sur les mouvements de population est double :

  • A l’échelle nationale et régionale : Adapter par anticipation les capacités médicales, sociales et sécuritaires en fonction du nombre réel de personnes présentes à un endroit donné.
  • A l’échelle d’un quartier : Détecter les espaces publics anormalement fréquentés en temps de confinement pour permettre d’adapter localement les réponses sociales, sanitaires et sécuritaires.

− Citation issue du rapport, page 6

Nous savons également qu'avoir un discours qui ne va pas dans le sens de plus de sécurité est difficilement audible. C'est déjà le cas dans un contexte terroriste, c'est encore plus vrai lorsqu'il s'agit de santé ou de vies à sauver.

Quelle porte de sortie ?

  • Il faut tester et dépister la population
  • Il faut des moyens de se protéger (des masques, du gel hydro alcoolique et du savon)
  • Il faut une prise de conscience que chaque geste d'hygiène contribuant à retarder le virus donne plus de chances à nos hopitaux de pouvoir suivre la cadence
  • Il faut plus de moyens pour l'hôpital public

À la lecture de ce rapport, on peut voir que la peur semble tout pouvoir justifier. En particulier, que peut-on opposer lorsqu'il s'agit de sauver des vies ? Pour autant, il n'est fait mention nulle part d'une réelle efficacité de tels outils de contrôle sur la lutte contre la diffusion du virus.

Dans certains pays, des dispositifs étatiques de collecte et de traitement massif de données sans consentement des utilisateurs ont été mis en place dans le cadre de mesures exceptionnelles. L'efficacité réelle de ces dispositifs reste à ce jour mal évaluée.

− Citation issue du rapport, page 4

Nous avons également remarqué l'utilisation de nombreux éléments de langage destinés à aseptiser la réalité, par exemple :

La Chine, Taïwan et la Corée du Sud exploitent de nombreux leviers technologiques, parfois avec succès, mais en questionnant les libertés.

− Citation issue du rapport, page 2

Des questions sur la réalité de l'anonymisation des données restent en suspens. Ainsi, dans le cas de l'utilisation via bluetooth, sachant que chaque téléphone a un référent unique, comment garantir que les données ne seront pas liées à une personne physique ? En outre, l'anonymisation des données de géolocalisation est aussi questionnable : la géolocalisation dit où nous habitons par exemple. De même, l'utilisation de détection, en champs proche, de deux appareils permet, en partant d'un téléphone donné, de savoir à quelle distance probable se trouvent leurs porteurs (un appareil croisé il y a 10 minutes est forcément proche de l'appareil observé, par exemple).

Telles que présentées par nos gouvernants et relayées par les médias, ces solutions de pistage semblent rencontrer un large écho favorable auprès de la population. Comment penser autrement lorsqu'elles sont présentées comme l'unique solution viable pour sortir du confinement ? Il est probable que plus le temps passe, plus la population se saisira de la première solution à portée de main pour se déconfiner, sans réflexion préalable.

C'est pourquoi il convient de défaire cet argumentaire fallacieux et orienté, en expliquant que d'autres solutions peuvent permettre de sortir de cette situation.

Sachez qu'entre le moment de notre arpentage et maintenant, Google et Apple on annoncé qu'ils allaient unir leurs efforts avec une techno"solution" commune...

Pour approfondir sur ce sujet, vous pouvez lire l'éditorial de Serge Halimi qui permet de comprendre dans quoi cette volonté de tracer les populations s'inscrit, quelles sont les extensions possibles et aussi d'apprendre que ce genre de dispositif, mis en place lors de moments particuliers, restent toujours après que ces événements soient passés. Ce sont donc des menaces durables une fois qu'elles sont là.

Nous avons, au cours de cet arpentage, parlé des ouvrages suivants :

  • la stratégie du choc de Naomi Klein (existe aussi en vidéo) - parce que cet ouvrage résonne encore plus dans la période actuelle
  • Surveiller et punir, de Michel Foucault
  • la théorie du drone (accès libre pendant le confinement) - sur l'aspect psychologique de ces engins panoptiques
  • Ni dieu ni maitre, une histoire de l'anarchisme livre 1 et 2 (existe aussi en vidéo)